Изпечатай

[backinblack]

Здравейте Колеги!

От доста време не съм се вясвал тук и имам зор голям !
Опитвам се да си настроя една виртуалка Убунту 16.04 с Виртуалмин за уебхост за няколко домейна с мейл сървъри към тях и с това се оправих, но искам и същата виртуалка да ми бъде и рутер на мрежата зад нея с Shorewall, но хич не мога да се оправя. Защо с Shorewall - защото има уебмин модул за настройване и конфигуриране!
Виртуалката е с две лан карти. Първата(ens32) е външната и е със статично ИП. Втората(ens33) е за вътрешната мрежа. Назначил съм и ИП 192.168.1.2 с маска 255.255.255.0 . Нагласил съм isc-dhcp-server да раздава ИП-та с рейндж 192.168.1.100-192.168.1.254 и Уиндоус-а си получава правилно ИП 192.168.1.100 с гетауей и ДНС 192.168.1.2 и съм до тук! Интернет не получава!

До колкото разбирам, трябва май да се пренасочи интернета от първата към втората карта, а също така и да се настрои самия фаеруол. Трябва да форвардна доста портове от вън към вътрешни ИП-та, а също така и да забраня връзките към някои външни ИП-та на програми инсталиране на компютри от вътрешната мрежа.
По същия начин в момента ползвам един Zentyal за рутер в момента, но с друго външно ИП, а преди съм ползвал pfSense само за рутер, а сега целта ми е всичко да е на машина. Рутер, уебхост, мейл сървър и файлов самба сървър, пък може и още фичъри да му се измислят и да се управлява само през Уебмин/Виртуалмин.
Побърках се от тестове и ровене из нета и има доста инфо, ама пусто му и англииския ми е по-зле и от рутирането и бих предпочел някой, който се е занимавал с това или има желание да го пробва да ми го направи срещу заплащане. Виртуалката е на снапшот и не е проблем да се маже, да се връща до снапшота и да се маже отново, докато се получи. Виртуализатора ми е  ESXi(ако има значение)

[ddantgwyn]

Здравейте Колеги!

От доста време не съм се вясвал тук и имам зор голям !
Опитвам се да си настроя една виртуалка Убунту 16.04 с Виртуалмин за уебхост за няколко домейна с мейл сървъри към тях и с това се оправих, но искам и същата виртуалка да ми бъде и рутер на мрежата зад нея с Shorewall, но хич не мога да се оправя. Защо с Shorewall - защото има уебмин модул за настройване и конфигуриране!
Виртуалката е с две лан карти. Първата(ens32) е външната и е със статично ИП. Втората(ens33) е за вътрешната мрежа. Назначил съм и ИП 192.168.1.2 с маска 255.255.255.0 . Нагласил съм isc-dhcp-server да раздава ИП-та с рейндж 192.168.1.100-192.168.1.254 и Уиндоус-а си получава правилно ИП 192.168.1.100 с гетауей и ДНС 192.168.1.2 и съм до тук! Интернет не получава!

До колкото разбирам, трябва май да се пренасочи интернета от първата към втората карта, а също така и да се настрои самия фаеруол. Трябва да форвардна доста портове от вън към вътрешни ИП-та, а също така и да забраня връзките към някои външни ИП-та на програми инсталиране на компютри от вътрешната мрежа.
По същия начин в момента ползвам един Zentyal за рутер в момента, но с друго външно ИП, а преди съм ползвал pfSense само за рутер, а сега целта ми е всичко да е на машина. Рутер, уебхост, мейл сървър и файлов самба сървър, пък може и още фичъри да му се измислят и да се управлява само през Уебмин/Виртуалмин.
Побърках се от тестове и ровене из нета и има доста инфо, ама пусто му и английския ми е по-зле и от рутирането и бих предпочел някой, който се е занимавал с това или има желание да го пробва да ми го направи срещу заплащане. Виртуалката е на снапшот и не е проблем да се маже, да се връща до снапшота и да се маже отново, докато се получи. Виртуализатора ми е  ESXi (ако има значение)

Трябва и стойността на един параметър в ядрото (ip_forward) да бъде 1, а не 0 за да може да се прехвърлят пакети от единия към другия интерфейс. И на вътрешният интерфейс не се задава gateway по подразбиране.

Имаше и някакви допълнителни настройки за да може физическите мрежови карти да се ползват и от виртуалните машини (бриджиране май му викат), но мисля, че това трябва да си го направил вече.

[backinblack]

Имаше и някакви допълнителни настройки за да може физическите мрежови карти да се ползват и от виртуалните машини (бриджиране май му викат), но мисля, че това трябва да си го направил вече.

Това, че са виртуални машини е абсолютно без никакво значение! Те са във виртуални суичове. Един виртуален суич към едната реална лан карта в която влиза интернета и имам 3 външни статични ИП-та, но са на общ трафик, а на виртуалката лан картата е в този суич и и слагам едно от трите ИП-та дадени ми от доставчика, а другата реална карта е свързана към втори виртуален суич и към него е включена втората и лан карта и с други виртуалки и реални са в една обща мрежа свързани със суич.

[BRADATA]

Първо схемата ти е грешна. Абсолютна дивотия е да имаш всички сервизи и Рутера/Защитната стена за цялата ти мрежа на една машина. Особено пък ако работиш във виртуална среда (вярвам не страдаш от липса на ресурси, а един monowall харчи точно нищо). Второ shorewall е нищо повече от обвивка използваща iptables. А webmin има модул, който директно работи с iptables. Т.е. защо ти е друг посредник? И не на последно място - трето - вземи малко да прочетеш за защитните стени и рутирането в линукс. Това са основни неща ако искаш да се правиш това, което (всички помним) се опитваш да правиш. Все пак хората, които ще ползват продукта ти ще имат нужда от съпорт по някое време (и както винаги се получава - ще бъде някое засукано изискване, за което ти ще отвориш тема тук, предполагам...). Този съвет ти е даван многократно от почти всички знаещи в този форум, но явно или не чуваш, или не ти изнася да чуваш.

[deant01]

мен ми звучи като случай в който има нужда да ползваш контейнери например докер. Но това с рутирането нищо не разбрах и ако колегата по-горе те е разбрал правилно, послушай го, защото това звучи абсурдно наистина.

[go_fire]

Не ползва контейнери, защото ползва виртуалки. А ползва виртуалки, защото предлага отдалечено ползване на Уиндоуси. А предлага тяхно отдалечено ползване, защото интересуващите го софтуери просто ги няма за ГНУ/Линукс.

Затова във всеки втори свой коментар пише, че не му достига още да стане работен плот, макар хора като мен и теб да го ползват точно за това. Просто, както Блендер не е Мая и трябва да правиш компромиси, така в неговата област проблема е още по-дълбок, че приложения почти няма.

Пъпреки, че Bb ползва компютри от досовски време, то е напълно несъгласен да ползва конзола. Той е много интересен, защото е потребителя мечта за Убунту — опитва да прави всичко с щракане.

Съответно непрекъснато следи и търси такива програми, които да отговарят на изискването му с тях да се справи абсолютно всеки. За негово щастие софтуерната индустрия отива точно натам и с всеки ден удовлетворява все повече изискванията му.

Ето сега е стигнал до Shorewall. Признавам, че не го бях чувал. Но пък и не се занимавам с администриране на нещо различно от собствената си машина.

Учудих се, че Брадата го съветва да ползва Моноуол. Нима някой все още  го ползва? Освен това Bb преди ползваше наследника му. А оттогава се появи наследник на наследника.

Но истинското ми втрещяване дойде, когато го посъветва да чете за жалониране. Ако има нещо  наистина сложно в ядрото Линукс… Ако има нещо да прилича на ядрена физика… Ами то е точно жалонирането. Не знам, как очаква някой да се справи абсолютно сам с тази материя без помощ отвън. Някой, който да те води за ръчичка. Убеден съм, че самия той така се е научил.

А за да е цирка пълен в най-скоро време iptables ще бъде обявен за остарял и формиран за замяна с нещо, което вече е „майка плаче, грамофон свири“. Ако сегашната система кара някакви хора да полудяваме, чакайте да видите тази, която е в бета-изпитания. Още като я вкараха в ядрото и щях да се спомина.

[BRADATA]

Що бе Жоре да се споминаваш? За да правиш каквато и да било защитна стена трябва аджеба поне да знаеш как това работи. Т.е. идеята зад него. Не говорим за дълбоки познания за ACK и SYN неща, а за логиката отгоре. На тема monowall - все още излизат нови версии и се поддържа. Аз го ползвам за VPN входна точка. Наследство ми е, ама понеже си бачка - го ползвам. Всичко става с цъкане в Уеб интерфейс => покрива изискванията. Няма някакви брутални изисквания за машината т.е. можеш да го пускаш на всичко.
Проблема с BB е, че не желае да се замисля за нищо повече от колкото той смята за нужно (въпреки, че няма познанията дори да разбере колко не знае) - т.е. по нашенско му викат дървен философ. "И язе не знам како е, ама и тако не йе"...

edit: сега разгледах последните новости около nft - не мисля, че скоро това ще бъде използваемо. Същото така никъде не видях кога се планира спирането на iptables. Следователно няма да е следващите поне 5 години. А за 5 години BB ще му дойдат милион нови идеи

[spec1a]

   Може с тоя Shorewall да е станала каша...
   Разгледай внимателно мрежовите настройки на
"Виртуалката с двете лан карти".
   Виж резултата от командите:
iptables -L
iptables -L -t nat
   За всеки случай и:
iptables -L -t raw
iptables -L -t mangle
   Виж да не би тоя dhcp да създава проблеми...
   Принципно, "даването на интернет" на другите машини трябва
да стане с:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ens32 -j MASQUERADE
   Най-вероятно е станала тотална "манджа с грозде" , оттам да
идват проблемите.
   Като решение, може да се откажеш от тоя Shorewall и сам да си
сетнеш iptables(преди това да изтриеш всички досегашни правила в
съотв. таблици) ,но си е въртел.

[Naka]

или
iptables -t nat -A POSTROUTING -o ens32 -j SNAT --to 80.80.xx.xx

като  80.80.xx.xx ти е външното ип.

Ключът от бараката за споделянето на интернет е
 -j MASQUERADE
или
-j SNAT

Но за твое най голямо съжеление (и за мое най голямо удоволствие ) без шел и писане на ръка на iptables команди няма да стане.


Пишеш бришеш iptables команди и когато заработи и си готов:
service iptables save (или както е там командата в дистрото.)

това ще запише iptables правилата за постоянно и след рестарт няма да пишеш нищо.

[go_fire]

Що бе Жоре да се споминаваш? За да правиш каквато и да било защитна стена трябва аджеба поне да знаеш как това работи. Т.е. идеята зад него. Не говорим за дълбоки познания за ACK и SYN неща, а за логиката отгоре. На тема monowall - все още излизат нови версии и се поддържа. Аз го ползвам за VPN входна точка. Наследство ми е, ама понеже си бачка - го ползвам. Всичко става с цъкане в Уеб интерфейс => покрива изискванията. Няма някакви брутални изисквания за машината т.е. можеш да го пускаш на всичко.
Проблема с BB е, че не желае да се замисля за нищо повече от колкото той смята за нужно (въпреки, че няма познанията дори да разбере колко не знае) - т.е. по нашенско му викат дървен философ. "И язе не знам како е, ама и тако не йе"...

edit: сега разгледах последните новости около nft - не мисля, че скоро това ще бъде използваемо. Същото така никъде не видях кога се планира спирането на iptables. Следователно няма да е следващите поне 5 години. А за 5 години BB ще му дойдат милион нови идеи

O-o-o iptables няма да го спрат в следващите не пет, ами десет години. Може и много повече. Просто ще стане революция, ако го направят.

Споменах m0n0wall, защото той преди беше на pfSense и ощевидно се отказал от него. Едва ли ще се върне. Не, че знам причината или подробности.

Той всъщност прави нещо, което правят и нормалните админи. Пробва разни неща и ако се окажат успешни директно влизат в производствен режим. Е вярно, че го прави малко странно…

[BRADATA]

Naka, в грешка си... Хората са го измислили... http://doxfer.webmin.com/Webmin/Linux_Firewall
За твое (и мое) съжаление BB пак ще се измъкне от това да научи нещо, ровейки в конзолата...

[Acho]

Е то е ясно, без много четене, проби и реални тестове - мрежар не се става. Ще трябва да се гледат примери и да се четат обясненията към тях.

[spec1a]

   Ами при използване на Webmin ситуацията може да се осере повече,
отколкото при използване на Shorewall,особено пък в случая на BB.
   По принцип съм забелязал,че,кой знае защо,на меринджеите им харесва
чекиджийски "софтуер" от типа на Webmin,Shorewall и т.н.   
Може би защото смятат, че така нещата стават по-лесно,по-удобно, пък и
верoятно им напомня на windows. И може повече време да юркат
сисадмините за какво ли не...

[backinblack]

@BRADATA
Това, което искам да постигна в момента е лично за мен, да си го ползвам лично аз, но, ако си обърнал внимание съм писал, че предпочитам някой да ми го направи срещу заплащане, защото ми писна от тестове сам. Не ми се чете, защо не ми е това работата и много добре знам, че никой не може да бъде специалист по всичко. Ако се получи търсения от мен ефект, естествено, че ще го предлагам и на клиенти и този, който ми го е направил срещу заплащане едва ли ще има нещо против да вземе някой лев и от друг за същото и за други работи, ако се налага. Дума и да не става, че мога това да го предложа на клиент, ако не мога да му предложа надежден съпорт!
 В момента работим няколко колеги почти като екип, но всеки от нас предлага взаимно допълващи се неща и си прехвърляме един на друг клиенти. Работим също и по доста други нови неща за които също си търсим партньори, които да се присъединят към нас, но това вече е друга тема. Покрай всичко това и развиваме технология на виртуален офис, като работата, която се върши на компютър да се работи от дома за спестяване на средства за офис, а и да не зависим един друг от локацията на партньора.
Относно самата постановка, че всичкото да не бъдело на една машина, ти каква идея би предложил, че на мен не ми идва друго на акъл, освен сървъра за уеб хостинг, мейл сървъра, самба сървъра на мрежата... да ги сложа зад рутер който да бъде отделна виртуалка с пренасочени на вътре към сървъра портове от вън!!!!?? Разполагам с 3 външни статични ИП-та от доставчика и в момента на едното е закачено Зентиал за рутер и самба сървър, а на второто подготвям тази вируалка за уебхост и мейл сървър с виртуалмин. Оунслоуд има модул за връзка от клоуда със самба споделените ресурси на сървъра, което ми е много нужно за целта и от тук идва нуждата уебхоста и самба сървъра да са на една машина.

@go_fire
Жоре, главната причина да се бунтувам срещу конзолата и да ползвам графичен интерфейс за всичко е, че графичния интерфейс създава правила за обща работа с други потребители! Ти пипаш само определени неща, друг други, трети - трети и така всеки пипа само определени и веднъж правилно настроено и дефинирано се сваля критическата сложност, като не е нужно всеки да е специалист по всичко. На 90% от сайтажиите, линукс, а и изобщо всякакво системно администриране им пълна индия! Като ги пуснеш на различно от уебхост панела на предлагащите уеб хостинг и не могат нищо да направят и следователно не мога да ползвам техните услуги, а абсолютно всичките ми услуги да зависят от волята, желанието и претенциите на един сисадмин за мен е абсолютно недопустимо. Сисадмина трябва да може и да разбира от едни неща, а сайтажиите от съвсем други и на тях не им е работа да мислят и могат да администрират системи. Както и аз, като се занимавам с кад системи(основно) не е нужно да съм и конструктор.
....................................................................

Знам, че в Уебмин има модул и за графично настройване на iptables, но за да искам да е с Shorewall си имам някакви причини и не мисля, че е нужно да занимавам цялата аудитория защо едното, а не другото. Това, че Shorewall продължава да се ползва и да се развива е логично, че предлага нещо по-различно или повече от iptables !
....................................................................

Много благодарности на mystical, който завладян от чист ентусиазъм, още снощи се свърза с мен на лично и ми пусна и-нета към втората карта, донастроихме DHCP сървъра и оставихме за днес след работа да се мъчим с Shorewall, който и за него е непознат. Ако някой е запознат с Shorewall, моля да коментира и помага или направо да ми пише на лично да му връзка за виртуалката. Всичко настроено до тук е на снапшот и може да се маже безпроблемно.
...................................................................

Както казах по-горе, за това време през което не съм се вясвал във форума, доста неща около мен са се развили към добро и не съм се отказал от Линукс идеята като бизнес модел от който може и да се печели като се спазват правилата заложени в ГПЛ лицензирането, а покрай това и да системата да се ползва повече, но трябва да се изграждат екипи за съвместна работа, а не всеки да е специалист по всичко.
В момента търся и Уордпрес програмист с който да форкнем един свободен модул като наш собствен проект, като до първа версия аз ще бъда инвеститор в проекта, а ако успея да осигуря и допълнително средства ще продължим да го развиваме. Модула е изграден от подмодули и при добро синхронизиране и разпределение на задачите, а също и при интерес от потребители лесно ще се разработва и от няколко човека едновременно без да си пречат и без да нужно всеки да разбира от всичко. Нашия форк също ще бъде под ГПЛ свободен лиценз и ще бъде споделен в гита за общо ползване.

[backinblack]

   Ами при използване на Webmin ситуацията може да се осере повече,
отколкото при използване на Shorewall,особено пък в случая на BB.
   По принцип съм забелязал,че,кой знае защо,на меринджеите им харесва
чекиджийски "софтуер" от типа на Webmin,Shorewall и т.н.   
Може би защото смятат, че така нещата стават по-лесно,по-удобно, пък и
верoятно им напомня на windows. И може повече време да юркат
сисадмините за какво ли не...

Когато и ти станеш някога мениджър, може и да разбереш, че труда е едно от най-скъпите пера в разходите на всяка фирма и за да се намали цената на този разход, най-тъпия начин е да се търси свръх квалифициран специалист, но който да е склонен да работи за малко пари! Правилния начин е да се раздели труда така, че ниско квалифицирания да върши една работа, а високо квалифицирания друга, защото е тъпо да ангажираш високо квалифициран работник да върши работа, която може да я свърши и ниско квалифициран работник и за това са нужни правила, които се създават с графичния интерфейс.